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PROCEDE DE CONTROLE D'IDENTIFICATION DE PERSONNEL ft 
SYSTEME POUR LA MISE EN CEUVRE DU PRQCEflF 

La presente invention concerne le controle d'identification de 
personnes. Elle concerne plus particulierement la generation d'un moyen 
unique d'identification de personnes. 

Une application particulierement interessante de I'invention, bien que 
non exclusive, consiste a controler la delivrance de droits a des personnes 
ayant obtenu un moyen unique d'identification. 

Le terme "droit" est a comprendre dans son acception la plus large, la 
delivrance d'un droit a une personne s'entendant de la concretisation d'une 
possibility offerte a cette personne. A titre d'exemple, une personne peut se 
faire delivrer un permis de conduire, un badge d'acces a un batiment, un titre 
de transport, ou bien encore se faire attribuer un fonds de retraite, une 
indemnisation ou bien un remboursement dans le cadre d'un systeme de, 
securite sociale par exemple, etc. 

La delivrance de tels droits est confrontee a un probleme d'unicite, 
dans la mesure ou Ton ne souhaite generalement pas delivrer plusieurs fois un 
meme droit a une meme personne. 

Ainsi, certains systemes actuels fonctionnent selon le principe suivant : 
une personne souhaitant se voir delivrer un droit decline d'abord son identite 
(par exemple ses nom et prenoms), puis une verification de cette identite est 
effectuee avec des moyens generalement li mites et peu fiables. Puis, on verifie 
que la personne portant cette identite n'a pas deja recu le droit revendique, par 
exemple en consultant une base de donnees ou sont stockees les identites de 
toutes les personnes ayant deja acquis le droit considere. Si la verification 
montre que la personne n'a pas deja acquis ce droit, ce dernier iui est alors 
delivre et cette information est prise en compte dans la base de donnees. 

Toutefois, si la personne consideree a usurpe une ou plusieurs 
identites, il Iui est possible d'obtenir le droit un nombre de fois egal au nombre 
des identites qu'elle presente au systeme. L'unicite de delivrance des droits 
n'est done pas assuree dans de tels systemes. 
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En outre, de tels systemes delivrent des droits en liaison avec I'identite 
. des personnes, si bien qu'ils ne perrnettent pas de delivrer des droits a des 
personnes en raison de leur qualite, par exemple leur appartenance a une 
association d'anonymes. 

5 Pour limiter ces inconvenients et notamment pour fiabiiiser 

I'identification des personnes, il est connu d'utiliser des donnees biometriques 
associees aux personnes. Le principe en resultant est illustre sur les figures 1 
et 2. 

La figure 1 montre une phase prealable dite d'enrolement, au cours de 
10 laquelle un moyen d'identification d'une personne est genere, ce moyen 
d'identification creant un lien entre les donnees biometriques de la personne et 
son identite. Ainsi, la personne 1 possede une biometrie 3, c'est-a-dire des 
donnees biometriques qui la caracterisent, telles que des empreintes digitales, 
des caracteristiques de I'iris de ses yeux, etc. La personne 1 decline son 
15 identite 4, qui est alors verifiee (etape 5). Puis, une association est faite entre la 
biometrie 3 et I'identite 4 de la personne 1 (etape 6). Cette association est enfin 
stockee sur un moyen d'identification associe a la personne 1. Le moyen 
d'identification est typiquement detenu par la personne elle-meme, de sorte 
que cette derniere est la seule a posseder une trace de I'association entre sa 
20 biometrie 3 et son identite 4. Un tel moyen d'identification associe a une 
personne est couramment appele un jeton (ou "token") biometrique. II peut par 
exemple prendre la forme d'une carte d'identite sur laquelle les empreintes 
digitales de la personne ont ete apposees. 

La figure 2 montre une phase ulterieure de delivrance d'un droit. Une 
25 personne 2 pretendant a la delivrance d'un droit doit avoir fait I'objet d'un 
enrolment prealable selon les principes illustres sur la figure 1 . On compare 
alors la biometrie 8 de cette personne avec celle qui a ete conservee sur le 
jeton biometrique 9 associe a cette personne lors de son enrolement. Si les 
biometries concordent (etape 10), on est alors capable de retrouver I'identite de 
30 la personne 2 de maniere relativement fiable (etape 11) a partir de I'identite 
qu'elle avait declinee, pour verification, lors de son enrolement, et qui a ete 
stockee sur le jeton biometrique 9 en association avec la biometrie 8 de cette 



1 er depot 



-3- 

personne. On verifie ensuite, a I'etape 12, si le droit en question a deja ete 
obtenu relativement a I'identite retrouvee. Pour cela, on recherche ia presence 
de ladite identite dans une base de donnees 13 stockant Ies identites des 
personnes ayant acquis le droit en question. Si la personne 2 n'avait pas 
encore acquis le droit, ce dernier lui est finalement delivre a I'etape 14 et cette 
information est prise en compte dans la base de donnees 13. 

Ce mode de fonctionnement fiabilise done ('identification d'une 
personne, puisque I'identite declinee par chaque personne et verifiee lors de 
son enrolement est retrouvee a partir des donnees biometriques propres a 
cette personne et du jeton biometrique prealablement remis a cette personne. 

Toutefois, il ne garantit pas I'unicite de la delivrance de droits. En effet, 
une personne possedant plusieurs jetons biometriques, obtenus lors 
d'enrolements successifs, pourra se voir delivrer un droit plusieurs fois, avec un 
jeton biometrique different a chaque fois. Cela est particulierement vrai lorsque 
la personne obtient plusieurs jetons biometriques avec des identites differentes • 
pour chaque jeton, ce qui peut se produire notamment lorsque I'etape 5 de 
verification de I'identite est de fiabilite faible. 

Une facon connue et efficace de remedier a ce probleme consiste a 
stocker, dans une base de donnees centralisee, une association entre la 
biometrie et I'identite de chaque personne. La figure 3 illustre une phase 
d'enrolement conforme a ce mode de fonctionnement. La personne 15 
possede une biometrie 16 et decline une identite 17 qui fait I'objet d'une 
verification a I'etape 18. On verifie a I'etape 19 si un jeton biometrique a deja 
ete attribue a la personne 15 en recherchant la presence de I'identite declinee 
17 dans la base de donnees 20 des identites memorisant Ies couples 
biometrie-identite des personnes pour lesquelles un jeton biometrique a deja 
ete genere. Si la personne 15 n'avait pas encore de jeton biometrique, on lui en 
genere alors un a I'etape 21, ce qui garantit qu'un seul jeton biometrique est 
genere pour chaque personne. La base de donnees 20 est enfin mise a jour 
pour prendre en compte la generation du nouveau jeton. 

Par la suite, on peut delivrer un droit comme dans le cas illustre a la 
figure 2, si besoin est. 
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Toutefois, le mode de fonctionnement illustre sur la figure 3 necessite 
la mise en correspondance, dans une base de donnees 20, de donnees 
biometriques et d'identites de personnes. Une telle correspondance est peu 
souhaitable car elle pourrait etre utilisee a d'autres fins que la simple delivrance 
5 de droits et aller ainsi a i'encontre de la liberie individuelle. Elle serait meme 
contraire a des dispositions legates pour la protection de la liberie individuelle 
dans certains pays. 

Un but de la presente invention est de limiter !es inconvenients 
susmentionnes, en autorisant une identification de personnes qui n'entrave pas 
10 la liberie individuelle. 

Un autre but de I'invention est de mieux fiabiliser I'unicite des moyens 
d'identification associes a des personnes, en vue par exemple d'assurer un 
controle de la delivrance de droits a ces personnes, sans pour autant creer de 
base de donnees reliant pour chaque personne, sa biometrie et son identite. 

15 Un autre but de I'invention est de limiter les possibilites de fraude lors 

de la delivrance de droits. 

Un autre but encore de I'invention est de permettre un controle de la 
delivrance de droits a des personnes sans consideration de leur identite. 

L'invention propose ainsi un procede de controle d'identification de 
20 personnes, comprenant une phase de generation d'un moyen unique 
d'identification associe a au moins une personne comprenant les etapes 
suivantes : 

/a/ detecter des donnees biometriques relatives a ladite personne ; 

lb/ rechercher une concordance entre les donnees biometriques 
25 relatives a ladite personne et des donnees biometriques prealablement 

memorisees dans une base de donnees biometriques, lesdites donnees 
biometriques prealablement memorisees etant relatives a des personnes 
pour lesquelles des moyens d'identification ont ete prealablement 
generes ; et, 

30 lorsque aucune concordance n'a ete trouvee : 
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lei generer un moyen ^identification associe a ladite personne a partir 
des donnees biometriques relatives a ladite personne et d'au moins une 
identite de ladite personne. 

L'etape Ibl du precede permet ainsi de s'assurer qu'un moyen 
5 d'identification, par exemple un jeton biometrique, n ! a pas deja ete associe a la 
personne consideree dans le passe. On limite ainsi les possibilites, pour une 
meme personne, d'obtenir plusieurs moyens d'identification. 

Seion un mode de realisation avantageux de ['invention, fe precede 
comprend en outre une seconde phase de delivrance d'au moins un droit a 
10 ladite personne, dans laquelle : 

Jef ladite personne s'identifie a ['aide du moyen d'identification qui lui a 
ete prealablement associe ; et 

/f/ on delivre ledit droit a ladite personne lorsque [edit droit n'a pas deja 
ete delivre a ladite personne un nombre de fois egal a un nombre 
15 predetermine. 

La delivrance de droits etant soumise a identification de la personne a 
partir du moyen unique d'identification prealablement genere pour ladite 
personne, on evite ainsi que la personne puisse se voir delivrer des droits 
plusieurs fois en s'identifiant a partir de moyens d'identification distincts. 

20 Les phases du procede sont appliquees a au moins une personne, 

e'est-a-dire qu'un jeton biometrique est associe a une personne donnee ou a 
un groupe de personnes donnees. De meme, le ou les droits sont delivres a 
une personne donnee ou a un groupe de personnes donnees. 

Dans un mode de realisation particulier de Tinvention, une verification 
25 de Tidentite de la personne est effectuee avant Tetape IhL 

La delivrance du droit est effectuee sur la base d ! un identifiant, qui peut 
etre Tidentite de ladite personne ou bien un identifiant du jeton biometrique qui 
lui a ete associe (mode anonyme). 

Dans un mode de realisation particulier de Tinvention, on revoque 
30 Pidentifiant d'un jeton biometrique avant d'en generer un autre pour la meme 
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personne ou le meme groupe de personnes. Ceia peut par exemple se 
produire lorsque la personne pretend avoir perdu son premier jeton 
biometrique. On evite ainsi avantageusement les generations multiples de 
jetons pour une meme personne ou un meme groupe de personnes, pouvant 
5 entraTner des deiivrances multiples de droits pour ces personnes. 

Dans des modes de realisation particuliers de ('invention, une cle est 
calculee pour chaque personne, puis associee a son identite. II peut s'agir par 
exemple d'une cle biometrique calculee a partir d'elements biometriques de la 
personne, mais faiblement discriminante pour qu'on ne puisse pas facilement 
10 retrouver la personne a partir de sa cle. Cette cle peut aussi etre generee de 
fagon aleatoire, auquel cas elle est en outre associee a la biometrie de la 
personne consideree. 

Llnvention propose en outre un system e, comprenant des moyens 
pour mettre en ceuvre le procede susmentionne. 

15 Lorsque seule la premiere phase du procede est mise en ceuvre, le 

system© peut aiors s'apparenter a un dispositif. 

Lorsque, en revanche, le procede comprend la premiere phase de 
generation d'un moyen unique d'identification associe a au moins une 
personne, ainsi qu'une deuxieme phase de delivrance d'au moins un droit a 
20 cette personne, !e systeme peut aiors comprend re des moyens fonctionnels 
aptes a mettre en oeuvre chacune des deux phases du procede au sein d'un 
meme equipement, ou bien des entites physiques distinctes assurant chacune 
la mise en ceuvre d'une des deux phases principales du procede. 

D'autres particularites et avantages de la presente invention 
25 apparaitront dans la description ci-apres d'exemples de realisation non 
limitatifs, en reference aux dessins annexes, dans lesquels : 

- ia figure 1 est un schema, deja commente, montrant un mode connu 
d'enrolernent d'une personne ; 

- Ia figure 2 est un schema, deja commente, montrant un mode connu de 
30 delivrance de droits a une personne ; 

- la figure 3 est un schema, deja commente, montrant un autre mode 
connu d r enrolement d'une personne ; 
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- la figure 4 est un schema montrant un mode d'enrolement d'une 
personne selon ('invention ; 

- la figure 4A est un schema montrant une premiere phase d'un mode 
d'enrolement d'une personne selon I'invention ; 

- la figure 4B est un schema montrant une seconde phase d'un mode 
d'enrolement d'une personne selon I'invention ; 

- la figure 5 est un schema montrant un mode de delivrance de droit a une 
personne en fonction de son identite, selon I'invention ; 

- la figure 6 est un schema montrant un mode de delivrance de droit a une 
personne independamment de son identite, selon I'invention ; 

- la figure 7 est un schema montrant un mode d'enrolement d'une 
personne, selon un mode de realisation particulier de I'invention ; 

- la figure 8 est un schema montrant un mode de delivrance de droit a une 
personne en fonction de son identite, selon un mode particulier de 
I'invention ; 

- la figure 9 est un schema montrant un mode de delivrance de droit a une : 
personne independamment de son identite, selon un mode de realisation : 
particulier de I'invention ; 

- les figures 10 et 11 sont des schemas montrant des modes" 
d'enrolements d'une personne selon d'autres modes de realisations de 
I'invention ; 

- la figure 12 est un schema simplifies d'un systeme permettant la 
delivrance de droits selon I'invention. 

La figure 4 est un schema de principe illustrant une phase 
d'enrolement selon I'invention, pouvant eventueilement preceder une 
delivrance de droits. Cette phase d'enrolement consiste a generer un moyen 
unique d'identification d'une personne 22, de maniere a eviter les problemes de 
generation de moyens d'identification multiples a une meme personne comme 
cela a ete expose en introduction. 

Selon cette figure, la personne 22 dispose de donnees biometriques 
qui lui sont propres, cette biometrie 23 de la personne 22 est detectee puis 
comparee a un ensemble de biometries memorisees dans une base de 
donnees biometriques 26, correspondant a des donnees biometriques de 
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personnes ayant deja fait I'objet d'un enrolement, c'est-a-dire ayant deja 
obtenu un moyen d'identification. Si la biometrie 23 de la personne 22 
Concorde avec I'une des biometries stockees dans la base de donnees 26, cela 
signifie que la personne 22 a deja fait I'objet d'une enrolement, et done a deja 
5 regu un jeton biometrique. Dans ce cas, on peut par exemple decider de ne 
pas re-generer un jeton biometrique pour cette personne 22, ou bien de 
proceder a des verifications supplemental. Lorsqu'a I'etape 25, aucune 
concordance n'a ete trouve entre la biometrie 23 et les biometries stockees 
dans la base 26, cela signifie que la personne 22 n'a pas encore fait I'objet d'un 
10 enrolement, et cela justifie la generation d'un. moyen d'identification pour cette 
personne 22. On notera que I'etape de verification 25 est particulierement 
fiable car elle est basee sur des donnees biometriques qui caracterisent 
litteralement la personne consideree. 

Par ailleurs, la personne 22 souhaitant suivre une procedure 
d'enrolement, decline son identite 24. Cette identite fait alors I'objet d'une 
verification a I'etape 27, cette verification pouvant etre de natures diverses. On 
peut par exemple verifier la presence de I'identite declinee 24 dans une base 
de donnees 28 contenant des informations d'identite sur toutes les personnes 
susceptibles de se presenter pour un enrolement. 

Le jeton biometrique 29 finalement genere pour la personne 22 est 
forme a partir de la biometrie 23 et de I'identite 24 de cette personne. Par 
exemple, ce jeton comprend des elements de la biometrie 23, des elements de 
I'identite 24, ainsi qu'un identifiant unique de jeton. II peut s'agir par exemple 
d'une carte d'identite sur laquelle ont ete apposees des empreintes digitales de 
25 la personne 22. 

Ainsi, I'enrolement illustre sur la figure 4 permet de generer un moyen 
d'identification qui est unique pour une personne donnee, dans la mesure ou 
I'on verifie dans une etape 25 si la personne consideree a deja obtenu un jeton. 
On evite ainsi de delivrer plusieurs jetons biometriques a une meme personne, 
30 ce qui limite ies possibles ulterieures d'utilisation de ces differents jetons, par 
exemple afin d'obtenir la delivrance de plusieurs droits sur la base des 
differents jetons biometriques obtenus par cette personne. 
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Apres la generation du jeton biometrique 29 associe a la personne 22, 
la base de donnees 26 est avantageusement mise a jour pour prendre en 
compte la biometrie 23, de maniere a ce que la personne 22 ne puisse plus 
obtenir un jeton biometrique lors d'une nouvelle procedure d'enrolement 
5 ulterieure, une fois le jeton biometrique 29 obtenu. 

Dans un mode de realisation avantageux de (Invention, la base de 
donnees biometriques 26 stocke non seulement des elements de biometrie, 
mais egalement des identifiants de jetons. Ainsi, chaque biometrie memorisee 
dans la base 26 est associee a un identifiant de jeton biometrique delivre a la 

10 personne possedant iadite biometrie. On garde ainsi un lien entre la biometrie 
verifiee et le jeton delivre, sans toutefois que ce lien permette une 
correspondance directe entre biometrie et identite en dehors du jeton. En effet, 
I'identifiant d'un jeton biometrique n'est pas conservee dans la base de 
donnees de verification des identites, mais il est par exemple incorpore au 

15 jeton biometrique lui-meme. 

Dans ce mode de realisation, i! convient done, en reference a la figure 
4, une fois le jeton biometrique 29 genere pour la personne 22, d'associer la 
biometrie 23 de la personne 22 avec un identifiant du jeton biometrique 29 
(etape 30), puis de stocker i'identifiant du jeton 29 en association avec la 
20 biometrie 23 dans la base de donnees biometriques 26. 

On notera que, dans I'exemple decrit en reference a la figure 4, un 
jeton biometrique 29 a ete genere pour etre associe a une personne 22. 
Cependant, il est egalement possible de generer un jeton biometrique pour un 
ensemble de personnes. Par exemple, un jeton unique peut etre genere pour 
25 un groupe de personnes ayant un lien entre eux, tel qu'une famille. Dans ce 
cas, le jeton biometrique genere portera avantageusement des elements de 
biometrie et d'identite relalifs a chacune des personnes du groupe. 

Les figures 4A et 4B illustrent une variante de realisation pour la phase 
d'enrolement, dans laquelle le moyen unique d'identification associe a une 
30 personne ou a un groupe de personnes donne est genere en deux temps. 

La personne 107 de la figure 4A possede une biometrie 108. Comme 
dans le cas precedent, on recherche, dans une etape 109, si un jeton a deja 
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ete attribue pour cette biometrie 108, par exemple en verifiant la presence de 
cette biometrie dans une base de donnees des biometries 110. Si aucun jeton 
n'a encore ete attribue a la biometrie 108, on en genere un a partir de la 
biometrie 108 de la personne 107, et on met avantageusement a jour la base 
5 de donnees 110. Ainsi, ie jeton biometrique 111 est obtenu a partir de donnees 
biometriques uniquement a ce stade. De fagon optionnelle, Tidentifiant du jeton 
111 est associe a la biometrie 108 (etape 110), et cette association est 
avantageusement mise a jour dans la base de donnees 110. 

Dans un second temps, une personne 113, qui peut par exemple etre 
10 la meme personne que la personne 107 de la figure 4A, peut faire ajouter une 
identite sur le jeton biometrique qui lui a ete prealablement associe. Ainsi, la 
personne 113 de la figure 4B presente Ie jeton biometrique 115 qui lui a ete 
prealablement associe. Une verification est faite a Petape 116, pour s'assurer 
que le jeton biometrique 115 est a juste titre en possession de la personne 113. 
15 A cet effet, on verifie la concordance entre la biometrie 1 14 de la personne 113 
et la biometrie a partir de laquelle le jeton biometrique 115 a ete genere, cette 
information etant avantageusement inscrite sur le jeton 115. Par ailleurs, la 
personne 113 decline son identite 117. Cette derniere fait I'objet d'une 
verification a Fetape 118, par exemple par recherche de cette identite dans une 
20 base de donnees des identites 119. Apres verifications, Hdentite 117 est 
ajoutee sur le jeton biometrique 115 (etape 120). 

L'enrolement selon ce mode de realisation consiste ainsi en deux 
phases independantes et asynchrones. Le jeton biometrique associe a une 
personne est finaiement genere a partir de donnees biometriques et de 
25 donnees d'identite, mais ces donnees ont pu etre devoilees et inscrites a des 
moments diffe rents. 

En outre, il est possible de mettre en ceuvre a plusieurs reprises la 
seconde phase d'un tel enrolement (iilustree a la figure 4B), de maniere a 
inscrire plusieurs identites de nature differente sur un meme jeton biometrique. 
30 Par exemple, une identite peut se rapporter a un etat civil de la personne 
concernee, tandis qu'une autre identite est une identite professionnelle. 

Une personne possedant un jeton biometrique, qui lui a ete delivre par 
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exemple a Tissue d'une procedure enrolement telle qu'illustree sur la figure 4, 
peut aiors pretendre a la delivrance d'un ou plusieurs droits. Cette delivrance 
peut etre effectuee en raison de Tidentite de la personne qui revendique un 
droit, ou bien independamment de son identite. 

5 La figure 5 illustre un cas de delivrance d'un droit a une personne sur 

la base de son identite. La personne 31 qui revendique un droit peut etre par 
exemple la meme personne que la personne 22 qui a subi prealablement une 
procedure d'enrolement. Elle possede une biometrie 32 ainsi qu'un jeton 
biometrique 33 qui lui a ete prealablement associe. On verifie aiors, dans une 
10 etape 34, si ia biometrie 32 de la personne 31 et la biometrie stockee sur le 
jeton biometrique 33 presentee par la personne 31 concordent bien entre eiles. 
Si ce n'est pas !e cas, cela signifie que le jeton biometrique 33 presente par la 
personne 31 n'a pas ete genere pour cette personne et ne lui est done pas 
associe. Aucun droit n'est aiors delivre dans ce cas de figure. 

15 En revanche, si la biometrie 32 de la personne 31 et la biometrie a 

partir de laquelle le jeton biometrique 33 a ete genere concordent, cela signifie 
que le jeton 33 est a juste titre en possession de la personne 31. L'identite de 
la personne 31 est retrouvee a partir du jeton biometrique sur lequel elle est 
inscrite (etape 35). On verifie aiors que le droit revendique n'a pas deja ete 

20 delivre a la personne 31 sur la base de son identite (etape 36). A cet effet, on 
verifie la presence, dans une base de donnees 37 des identites, stockant les 
identites de toutes les personnes ayant deja obtenu le droit considere, de 
Tidentite retrouvee a Tetape 35. On notera que lorsque la delivrance peut 
concerner un ensemble de droits distincts, la base de donnees 37 des identites 

25 stocke les identites des personnes ayant deja obtenu la delivrance d'un droit 
parmi ('ensemble de droits, en relation avec ce droit, de maniere a ne pas 
empecher une personne ayant deja obtenu un droit dudit ensemble de droits 
de s'en voir delivrer un autre ulterieurement 

Si Tidentite retrouvee a Tetape 35 n'apparalt pas dans la base 37, en 
30 relation avec le droit revendique par la personne 31, cela signifie que cette 
personne ne s'est pas encore vu delivrer le droit qu'elle revendique. La 
delivrance de ce droit est aiors realisee a I'etape 38. Dans le cas contraire, 
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aucun droit n'est delivre a la personne 31, puisque celle-ci Pa deja obtenu 
prealablement Lorsque le droit revendique par la personne 31 est delivre a 
Petape 38, la base de donnees 37 est alors mise a jour pour prendre en compte 
cette information, c'est-a-dire que Pidentite 35 de la personne 31 est stockee 
5 dans la base 37 en relation avec le droit delivre. 

Dans Pexemple decrit en reference a la figure 5, on cherche a ne 
delivrer un droit a une personne donnee qu'une seule fois. Cependant, it est 
egalement envisageable de delivrer un droit en un nombre predetermine de 
fois pour une personne donnee ou un groupe de personnes donnees. Dans ce 

10 cas, il peut etre avantageux de stocker en outre, dans la base de donnees 37, 
une indication relative au nombre de delivrances effectives d'un droit pour 
chaque identite en relation avec ledit droit. On verifie alors a Petape 36 si le 
droit revendique par la personne 31 a deja ete obtenu pour Pidentite retrouvee 
a Petape 35, un nombre de fois egal au nombre predetermine. On s'assure 

15 ainsi que le droit ne sera pas delivre a la personne 31 un nombre de fois 
superieur audit nombre predetermine. 

La figure 6 illustre un mode de realisation de la phase de delivrance 
d'un ou plusieurs droits pour une ou plusieurs personnes dans lequel la 
delivrance est effectuee independamment de Pidentite de la personne. Une 

20 personne 39 ayant une biometrie 40 et possedant un jeton biometrique 41, 
revendique un droit. Comme dans le cas precedent, la biometrie 40 et celle a 
partir de laquelle le jeton biometrique 41 a ete obtenu, par exemple dans une 
procedure d'enrolement, et qui est avantageusement stockee sur le jeton 41 , 
sont comparees a I'etape 42. Si les biometries concordent, cela signifie que le 

25 jeton biometrique 41 est a juste titre associe a la personne 39. On detecte alors 
dans une etape 43, I'ldentifiant du jeton biometrique 41, qui est 
avantageusement inscrit sur le jeton biometrique lui-meme. 

Puis on verifie a Tetape 44 si le droit revendique par la personne 39 a 
deja ete obtenu pour un tel identifiant de jeton. A cet effet, on consulte 
30 avantageusement une base de donnees 45 stockant les identifiants de jetons 
de toutes les personnes ayant obtenu un droit, i'identifiant de jetons etant 
stocke en relation avec le droit delivre pour cet identifiant. Lorsque le droit n'a 
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pas encore ete obtenu pour un tel identifiant, le droit revendique par fa 
personne 39 iui est alors delivre lors d'une etape 46, puis cette information de 
delivrance est prise en compte par Pajout de Pidentifiant du jeton obtenu a 
Petape 43 dans la base de donnees 45 en relation avec le droit delivre. 

5 Ainsi, le droit revendique par la personne 39 Iui a ete delivre sans que 

Pidentite de cette personne ne soit jamais detectee ni stockee. Ce mode de 
realisation est particulierement interessant lorsque ie droit peut etre revendique 
par un ensemble de personnes en raison de leur qualite, par exemple les 
membres d'une association de personnes anonymes. 

10 Gomme dans le cas decrit en reference a la figure 5, le droit delivre a la 

personne 39 selon le mode de realisation de la figure 6, pourrait etre delivre en 
un nombre predetermine de fois, plutot que de fagon unique. Dans ce cas, le 
nombre de delivrances d'un droit pour un meme identifiant de jeton, fait 
avantageusement Pobjet d'une entree supplemental dans la base de 

15 donnees 45. 

La delivrance d'un droit selon les modes de realisation iliustres sur les 
figures 5 et 6 est done controlee, dans la mesure ou chaque personne 
demandant la delivrance d'un droit obtient un jeton biometrique unique lors^ 
d'une phase prealabie d'enrolement, puis ie droit Iui est delivre de maniere 
20 conditionnelle grace a des informations disponibles a partir de ce jeton 
biometrique- On augmente ainsi les chances de ne delivrer un droit qu'un 
nombre predetermine de fois a une meme personne. 

En outre, Ie mecanisme decrit plus haut permet une separation efficace 
des donnees biometriques d'une part et de Pidentite des personnes d'autre 

25 part. En effet, aucune des bases de donnees utilisees dans la phase 
d'enrolement, comme dans la phase de delivrance de droits, ne contient a la 
fois des informations de biometrie et des informations relatives a des identites 
de personnes. Seul le jeton biometrique genere lors de la phase d'enrolement 
relativement a une personne donnee, contient un lien entre la biometrie et 

30 Pidentite de cette personne, si bien que ce lien n'est generalement disponible 
qu'aupres de ladite personne. 

En ce qui concerne les moyens de mise en oeuvre de ('invention, une 
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premiere entite 105 peut etre chargee de la mise en ceuvre de la phase 
d'enrdlement. Dans ce cas, cette entite 105 est alors un dispositif qui se 
Gonfond avec le systeme global 104. 

Si la seconde phase de delivrance de droits est en outre mise en 
5 ceuvre, une deuxieme entite 106 se charge de delivrer des droits, comme cela 
a ete represents schematiquement sur la figure 12. Le systeme global 104 est 
alors constitue des deux entites distinctes 105 et 106 et il permet la delivrance 
de droits. Chacune des entites, au sein du systeme 104, peut fonctionner de 
fagon independante, c'est-a-dire qu'une personne peut demander dans un 

10 premier temps qu'on lui affecte un jeton biometrique. Cette operation est alors 
realisee a I'aide de ['entite 105. Puis, elle peut demander la delivrance d'un 
droit a la suite immediate de son enrolement, ou, au contraire, bien apres son 
enrolement. La delivrance du droit est alors effectuee par I'entite 106. Dans 
d'autres modes de realisation exposes ci-apres, des interactions sont possibles 

15 entre les deux entites 1 05 et 1 06. 

En variante, le systeme 104, permettant la delivrance des droits, peut 
regrouper dans un equipement unique des premiers moyens fonctionnels aptes 
a m eft re en ceuvre la phase d'enrolement decrite ci-dessus (105 designe alors 
ces premiers moyens fonctionnels), et des seconds moyens fonctionnels aptes 
20 a delivrer des droits conformement a la deuxieme phase decrite ci-dessus (106 
designe alors ces seconds moyens fonctionnels). 

Les modes de realisation de Pinvention decrits plus haut, ne permettent 
cependant pas d'annuler totalement le risque qu f une personne puisse se voir 
associer plusieurs jetons biometriques, et eventueilement se faire ensuite 
25 delivrer plusieurs fois un meme droit, et ce, en declarant plusieurs identites 
differentes. 

En effet, si la personne 22 de la figure 4 a obtenu un jeton biometrique 
unique 29 a Tissue d'une phase d'enrolement, puis pretend avoir perdu son 
jeton 29, il lui est possible de subir une nouvelle phase d'enrolement au cours 
30 de laquelle elle decline une nouvelle identite, differente de I'identite 24 
precedemment declaree. Si I'etape de verification de Tidentite 27 n'est pas 
suffisamment fiable, comme c'est parfois le cas en realite, il est possible que la 
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personne 22 obtienne un nouveau jeton biometrique genere a partir de sa 
biometrie 23 et de la nouvelle identite qu'elle a declaree. Cette meme personne 
peut alors obtenir la delivrance d'un droit qu'elle avait deja obtenu, par exemple 
selon les principes decrits en reference a la figure 5 ou a la figure 6, puisque 
aucun droit n'a encore ete delivre pour la nouvelle identite declaree par la 
personne 22, ni pour I'identifiant du jeton nouvellement obtenu par cette 
personne. 

La figure 7 montre un mode de realisation de la phase d'enrolement 
visant a interdire la generation de plusieurs jetons biometriques pour une 
meme personne sur la base d'identites differentes, et done a reduire les 
risques de delivrance multiple d'un meme droit a cette meme personne, sur la 
base de ses differentes identites declarees. Ainsi, selon la figure 7, la personne 
47 peut obtenir un premier jeton biometrique unique 56 sur la base de A 
biometrie 48 et de I'identite 49 qu'elle decline lors de son premier enrolement 
de fagon similaire a ce qui avait ete decrit en reference a la figure 4. On 
considere desormais que cette meme personne 47 tente de sa faire attribueY 
un nouveau jeton biometrique en declinant une nouvelle identite 49. Dans ce 
cas, on detecte a I'etape 50 qu'un jeton biometrique a deja ete attribue a cette 
personne en retrouvant la biometrie 48 de la personne 47 dans la base de 
donnees 51 stockant les biometries des personnes ayant deja obtenu un jeton 
ces biometries etant associees dans la base a un identifiant du jeton respectif. ' 

On verifie alors la nouvelle identite 49 declinee par la personne 47 a 
I'etape 52. Etant donnes les risques existants que la personne 47 decline une 
identite 49 differente de celle qu'elle avait declinee lors de son premier 
enrolement la verification de I'identite de I'etape 52 est avantageusement 
effectuee avec une fiabilite accrue dans ce cas, par exemple en interrogeant 
une base de donnees 53 des identites contenant des informations multiples sur 
I'identite des personnes. Si I'identite 49 declinee par la personne 47 est 
erronee, on peut alors choisir de ne pas generer de nouveau jeton biometrique 
pour cette personne. 

En outre, lorsque I'etape 50 a revele qu'un jeton avait deja ete attribue 
a la personne 47, on revoque I'identifiant du jeton biometrique qui avait ete 
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prealablement obtenu par cette personne 47 (etape 54). Cette revocation peut 
etre faite en inscrivant I'ancien identifiant de jeton associe a la personne 47, 
c'est-a-dire ('identifiant du jeton biometrique precedemment obtenu par la 
personne 47, dans une liste d'identifiants revoques 55. 

5 Cette liste peut etre stockee dans une base de donnee. Lorsque le 

systeme permettant la delivrance des droits comprend deux entites distinctes 
(une pour generer les jetons et une autre pour delivrer effectivement les droits), 
la base de donnees contenant la liste d'identifiants revoques 55 doit etre 
consumable par I'entite chargee de la delivrance des droits (entite 106 sur la 
10 figure 12). 

En variante, la liste d'identifiants revoques 55 constitute par I'entite 
mettant en ceuvre la phase d'enrolement (entite 105 sur la figure 12) est 
transmise a I'entite chargee de la delivrance des droits (entite 106 sur ia figure 
12). Cette transmission peut se faire selon des modes divers. Par exernple, elle 

15 peut etre faite de maniere periodique, la liste complete des identifiants 
revoques etant transmise a chaque periode, ou bien seuls les identifiants 
revoques ajoutes a la liste 55 depuis la derniere periode sont transmis lors 
d'une nouvelle periode. II est encore possible de transmettre chaque identifiant 
revoque a I'entite chargee de la delivrance des droits des I'ajout de cet 

20 identifiant dans la liste 55, de fagon a avoir une transmission instantanee des 
identifiants revoques. 

La revocation de I'identifiant du jeton biometrique prealablement 
genere pour la personne 47 permet ainsi d'eviter que ia personne 47 puisse 
disposer de deux jetons biometriques differents en vigueur. 

25 Une delivrance des droits ulterieure est alors conditionnee par le fait 

que le jeton biometrique presente par une personne est bien en vigueur. La 
figure 8 illustre un tel mode de delivrance d'un droit. Une personne 59 ayant 
une biometrie 60 ainsi qu'un jeton biometrique 61 revendique la delivrance d'un 
ou plusieurs droits. Comme dans les cas de delivrance decrits plus haut, on 

30 verifie a I'etape 62 une concordance entre la biometrie 60 et cede stockee sur 
le jeton biometrique 61 genere lors d'une phase d'enrolement prealable. 
Lorsque les biometries concordent, on verifie, dans une etape 63, si i'identifiant 
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du jeton biometrique 61 associe a la personne 59 est en vigueur ou bien s'il a 
ete precedemment revoque. A cet effet, on verifie dans une liste d'identifiants 
revoques 64 la presence ou I'absence de I'identfflant du jeton biometrique 61. 

La liste d'identifiants revoques 64 est obtenue a partir de la liste 
d'identifiants revoques 55. Par exernple, lorsque la liste d'identifiants revoques 
55 a ete stockee dans une base de donnees accessible depuis I'entite 
(physique ou fonctionnelle) chargee de la delivrance des droits, la liste 64 est 
alors la meme que la liste 55, et il suffit de consulter ladite base de donnees 
pour conclure a la revocation ou non du jeton biometrique considere. En 
alternative, la liste 64 est differente de la liste 55, mais elle est mise a jour a 
partir de cette derniere lors de transmission d'identifiants revoques vers un 
espace memoire de I'entite chargee de la delivrance des droits, ladite 
transmission pouvant etre instantanee ou periodique, partielle ou complete, 
comme indique plus haut. 

Si on conclut, a I'etape 63, que I'identifiant du jeton biometrique 61 
utilise par la personne 59 a ete revoque, on peut alors choisir de ne pas 
delivrer le droit revendique a la personne 59. Au contraire, si I'identifiant du 
jeton biometrique 61 associe a la personne 59 est bien en vigueur, on precede 
alors comme dans le cas decrit precedemment en reference a la figure 5, pour 
delivrer le droit a la personne 59 lors d'une etape 68, apres avoir verifie que 
I'identite 65 de la personne 59 inscrite sur le jeton biometrique 61 n'a pas deja 
fait I'objet de la delivrance du meme droit, une fois ou, plus generalement, un 
nombre predetermine de fois. 

Dans le mode de realisation illustre sur la figure 9, on delivre un droit 
revendique a une personne 69 sur la base de I'identifiant du jeton biometrique 
71 qui lui est associe, comme dans le cas precedemment decrit en reference a 
la figure 6. Comme dans le cas illustre sur la figure 8, on verifie a I'etape 73 
que I'identifiant du jeton biometrique 71 n'a pas ete precedemment revoque, 
par interrogation d'une liste d'identifiants revoques 74 etablie a partir de ia liste 
d'identifiants revoques 55 precedemment decrite. 

Dans les modes de realisation de I'invention decrits plus haut, il n'est 
pas exclu qu'une personne puisse usurper I'identite d'une autre personne et 
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ainsi obtenir un jeton biometrique relatif a cette identite usurpee, au detriment 
de cette autre personne. Si la personne 47 de la figure 7 a obtenu un premier 
jeton biometrique 56, puis pretend Pavoir perdu, elle peut alors faire Pobjet 
d'une nouvelle phase d'enrolement au cours de laquelle elle decline Pidentite 
5 d'une autre personne 47'. Si la verification de Pidentite de Petape 52 n'est pas 
suffisamment fiable, il est alors possible que la personne 47 obtienne un 
nouveau jeton biometrique genere a partir de sa propre biometrie 48 et de 
Pidentite de la personne 47'. 

Pour eviter cette situation, on peut proceder selon Pun des modes de 
10 realisation ilfustres sur les figures 10 et 11. La figure 10 montre une personne 
78 ayant une biometrie 79 et une identite 80 qu'elle decline pour verification a 
Petape 87. Si Pon constate, en recherchant la biometrie 79 dans une base de 
donnees 83 contenant les biometries de toutes ies personnes ayant deja 
obtenu un jeton, les biometries etant respectivement associees a des 
15 identifiants de jetons correspondants, que la personne 78 n'a jamais demande 
la generation d'un jeton biometrique, on genere alors un jeton biometrique 84 a 
partir de la biometrie 79 de la personne 78 et de Pidentite 80 qu'elle a declare 
et qui a ete verifie a Petape 87. La biometrie 79 de la personne 78 est alors 
associee a Pidentifiant du jeton biometrique 84 (etape 85) pour faire Pobjet 
20 d'une nouvelle entree dans la base de donnee 83. 

En outre, on calcule une cle biometrique relative a la personne 78 
(etape 86). Cette cle biometrique est un code genere de maniere robuste et 
reproductible, susceptible de caracteriser la personne 78 de maniere suffisante 
pour que celie-ci ait une valeur de cle differente d'une autre personne 
25 quelconque avec un niveau de probability predetermine choisi, mais pas 
suffisamment caracterisante pour permettre de retrouver les donnees 
biometriques relatives a la personne 78. 

A titre d'exempie, la cle biometrique peut prendre quelques dizaines ou 
quelques centaines de valeurs differentes, lorsque le nombre de personnes 
30 susceptibles de pretendre a la delivrance de droits est une population de 
quelques millions ou quelques dizaines de millions de personnes. Elle peut par 
exemple prendre comme valeur une lettre de ('alphabet entre A et Z (26 valeurs 
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differentes) ou bien un nombre a 2 chiffres entre 00 et 99 (100 valeurs 
differentes). De facon avantageuse, le nombre de valeurs de la cle biometrique 
est adapte a la puissance de calcul necessaire pour calculer par force brutale 
toutes les combinaisons. 

La cle biometrique est calculee a partir d'elements biometriques de la 
personne consideree. Par exemple, si les donnees biometriques 79 utilisees 
pour identifier la personne 78 sont des empreintes digitales, la cle biometrique 
calculee a I'etape 86 pour cette personne 78 peut etre obtenue a partir d'un 
codage de la forme generate de chaque empreinte des doigts de cette 
personne 78, etant entendu que ce codage permet d'obtenir une repartition a 
peu pres uniforme des codes pour les differentes formes possibles des 
empreintes des doigts. En variante, les donnees biometriques 79 de la 
personne 78, auxquelles on s'interesse, sont relatives a i'iris de I'ceil de la 
personne 78. Dans ce cas, la cle biometrique pourrait etre calculee 
avantageusement selon une operation statistique basee sur le codage de I'iris. 

Une fois la cle biometrique calculee pour la personne 78, on retro uvl 
IMdentite de la personne 78 a partir du jeton 84 genere pour cette personnel 
(etape 92). Puis on memorise dans une base de donnees 89 la cle biometrique" 
obtenue a I'etape 86, en la reliant a I'identite de la personne 78. Cela revient a 
dire que la base de donnee 89 stocke I'ensemble des identites des personnes 
susceptibles de demander la delivrance de droits, chaque identite etant 
associee a une cle biometrique de la personne correspondante. Dans ce cas 
de figure, des informations d'identites sont done stockees en liaison avec des 
informations de biometrie. Cependant, etant donne le mode de calcul 
faiblement discriminant de la cle biometrique decrit plus haut, il n'est pas a 
craindre que la relation stockee dans la base 89 puisse permettre de retrouver 
I'identite d'une personne a partir de sa biometrie, ni inversement. 

Si par la suite, la personne 78 usurpe I'identite d'une autre personne et 
souhaite se voir generer un jeton biometrique a partir de cette identite usurpee, 
on precede comme suit : apres avoir detecte que la personne 78 s'etait deja 
fait attribuer un jeton biometrique (etape 82), on calcule la cle biometrique 81 
associee a la personne 78. Puis, sur la base de I'identite 80 declaree par la 
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personne 78, on effectue une verification de cette identite, si possible de fagon 
plus fiable que dans le cas courant (etape 87). Puis on compare, a Petape 88, 
la cle biometrique 81 avec la cle biometrique associee a Pidentite 80 declinee 
par la personne 78 dans la base de donnees 89. 

5 Si les cles biometriques comparees sont identiques, on peut alors en 

conclure avec un degre de certitude raisonnabie que Pidentite 80 est bien celle 
de la personne 78. En revanche, si les cles biometriques comparees sont 
differentes entres elles, Pidentite 80 declinee par la personne 78 est 
certainement usurpee. Dans ce dernier cas, on peut alors choisir de ne pas 
10 generer de nouveaux jetons biometriques a la personne 78 sur la base de cette 
identite usurpee. 

Comme dans le mode de realisation decrit plus haut en reference a la 
figure 7, on peut revoquer Pidentifiant de Pancien jeton biometrique associe a la 
personne 78 (etape 90), lorsque il a ete conclu que Pidentite 80 declinee par la 
15 personne 78 etait la bonne a Pissue des etapes 87 et 88. A cet effet, Pancien 
identifiant de jeton est ajoute a une liste d'identifiants revoques 91, 
eventuellement transmise a une entite (physique ou fonctionnelle) chargee de 
la delivrance effective des droits. 

Dans une variante de realisation, illustree a la figure 1 1 , une personne 
20 93 se voit generer un jeton biometrique 98, tandis qu'aucun jeton biometrique 
n'avait ete associe a cette meme personne auparavant. Puis on calcule une cle 
aleatoire pour cette personne 93 (etape 99), que Pon stocke d'une part, dans 
une base de donnees biometriques 97, en relation avec la biometrie 94 de la 
personne 93, et d'autre part, dans une base de donnees des identites 101, en 
25 relation avec Pidentite de la personne 93 obtenue a partir du jeton biometrique 
98 genere pour cette personne. 

Si la personne 93 subit une nouvelle phase d'enrolement, on detecte a 
Petape 96 qu'un jeton biometrique a deja ete associe a cette personne dans le 
passe, par consultation de la base de donnees 97, sur la base de la biometrie 
30 94. Puis on effectue une verification particulierement soignee de Pidentite 95 
declinee par la personne 93 (etape 100). Et on effectue une comparaison entre 
les cles aleatoires rnemorisees dans la base de donnees 97 pour la biometrie 
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94, et dans la base de donnees 101 pour I'identite declinee 95 (etape 102). 

Si les cles aleatoires memorisees dans les bases de donnees 97 et 
101 respectivement, ne sont pas coherentes entres elles, on peut en conclure 
avec un degre raisonnable de certitude que I'identite 95 declinee par !a 
personne 93 lors de ce second enrolement a ete usurpee et correspond done a 
I'identite d'une autre personne ayant deja subi elle-meme une phase 
d'enrolement. 

A T inverse, si I'etape 102 indique que les cles aleatoires memorisees 
dans les bases de donnees 97 et 101 sont identiques, il est alors probable que 
I'identite 95 declinee par la personne 93 lors de ce second enrolement soit bien 
I'identite de cette personne, et non une identite usurpee. Dans ce cas, on peut 
choisir de generer un nouveau jeton biometrique 103 a ('attention de la 
personne 93, en remplacement du jeton qui lui avait ete prealablement attribue. 

Bien que cela ne soit pas ete represents sur cette figure, il est bien s0> 
possible comme dans les cas decrits plus haut, de revoquer I'identifiant de 
I'ancien jeton biometrique qui avait ete associe a la personne 93, de maniere I 
ce que cette personne ne dispose que d'un jeton en vigueur a la fois. rt 

Dans le mode de realisation de I'invention illustree sur la figure 11, le 
calcul de la cle a I'etape 99 est totalement aleatoire, ce qui limite les risques de* 
fraudes consistant a rechercher, a partir de donnees biometriques d'une 
personne, une cle correspondante. 

On constate egalement dans ce dernier mode de realisation qu'un 
champ identique (la cle aleatoire) est stockee a la fois dans une base de 
donnees biometriques 97 et dans une base de donnees d'identites 101. 
Cependant, la cle aleatoire etant calculee de fagon a etre faiblement 
discriminante (elle peut prendre par exemple entre quelques dizaines et 
quelques centaines de valeurs differentes, comme dans le cas decrit plus 
haut), il est impossible pour une personne ayant acces aux bases de donnees 
97 et 101 de retrouver avec certitude une correspondance entre la biometrie et 
I'identite d'une personne sur la seule base de la cle aleatoire. 
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REVINDICATIONS 

1. Precede de controle d'identification de personnes, comprenant une 
phase de generation d'un moyen unique d'identification (29, 56, 84, 98, 103, 
111) associe a au moins une personne (22, 47, 78, 93, 107, 113) comprenant 
les etapes suivantes : 

/a/ detecter des donnees biometriques (23, 48, 79, 94, 108) relatives a 
ladite personne ; 

Ibl rechercher une concordance entre ies donnees biometriques 
relatives a ladite personne et des donnees biometriques prealablement 
memorisees dans une base de donnees biometriques (26, 51, 83, 97, 
110), lesdites donnees biometriques prealablement memorisees etant 
relatives a des personnes pour lesquelies des moyens d'identification 
ont ete prealablement generes ; et, 

lorsque aucune concordance n'a ete trouvee : 

Id generer un moyen d'identification (29, 56, 84, 98 3 103, 111) associe 
a ladite personne a partir des donnees biometriques relatives a ladite 
personne et d'au moins une identite (24, 49, 80, 95, 117) de ladite 
personne. 

2. Procede selon la revendication 1, comprenant en outre Petape : 

20 /d/ ajouter les donnees biometriques relatives a ladite personne dans la 

base de donnees biometriques. 

3. Procede selon la revendication 2, dans lequel, lors de I'etape /d/, les 
donnees biometriques (48, 79) sont ajoutees dans la base de donnees 
biometriques (51, 83) en association avec un identifiant unique dudit moyen 

25 d'identification (56, 84) associe a ladite personne (47, 78). 

4. Procede selon Tune quelconque des revendications precedentes, 
comprenant en outre une etape de verification (27, 52, 87, 100, 118) de 
lldentite de ladite personne (22, 47, 78, 93, 113), 
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5. 



Precede selon la revendication 4, dans lequel la verification de 
ridentite est renforcee pour une personne pour laquelle une concordance a ete 
trouvee a I'etape Ihl. 

6. Precede selon I'une quelconque des revendications precedentes 
dans lequel la generation, a I'etape Id, d'un moyen d'identification associe a 
ladite personne (107) est effectuee d'abord a partir des donnees biometriques 
(108) relatives a ladite personne, puis completee par I'ajout d'au moins une 
identite (117) de ladite personne. 

7. Precede selon I'une quelconque des revendications precedentes 
dans lequel la phase de generation d'un moyen unique d'identification (84, 9s' 
103) associe a ladite personne (78, 93) comprend en outre Jes. etapes 
suivantes : 

- calculer une cle associee a ladite personne, la cle pouvant prendre un 
nombre de valeurs tres inferieur au nombre de personnes susceptibles 
de requerir la generation d'un moyen unique d'identification, et 
suffisamment eleve pour que deux personnes quelconques se voient 
associer des cles differentes avec un niveau de probabiliti 
predetermine ; et V 

- memoriser ladite cle dans une base de donnees des identites (89, 101) 
en association avec une identite de ladite personne. 

8- Precede selon la revendication 7, dans lequel le nombre de valeurs 

de la cle est choisi de faeon a tenir compte de la puissance de calcul 
necessaire pour calculer par force brutale toutes les combinaisons. 

9. Precede selon la revendication 7 ou 8, dans lequel le nombre de 

valeurs de la cle est compris sensiblement entre quelques dizaines et quelques 
centaines lorsque le nombre de personnes susceptibles de requerir la 
generation d'un moyen unique d'identification est de quelques millions ou 
dizaines de millions. 



1 er depot 




-24- 

10. Precede selon Tune quelconque des revendications 7 a 9, dans 
lequel le calcul de la cle est effectue a partir de donnees biometriques relatives 
a ladite personne (78). 

11. Precede selon la revendication 10, dans lequel le calcul de la cle est 
5 effectue a partir de la forme generate des empreintes de certains doigts au 

moins de ladite personne. 

12. Precede selon la revendication 10 ou 11, dans lequel le calcul de la 
cle est effectue a partir d'informations relatives a Piris de Tceil de ladite 
personne. 

10 13. Precede selon Tune quelconque des revendications 10 a 12, 

comprenant les etapes suivantes, lorsqu'une concordance a ete trouvee a 
Tetape /b/ : 

- obtenir une identite (80) de ladite personne (78) ; 

- calculer la cle (81) associee a ladite personne ; 

15 - comparer la cle calculee avec la cle mernorisee dans la base de 

donnees des identites (89) en association avec Tidentite obtenue pour 
ladite personne ; et 

- mettre en ceuvre selectivement Tetape lol en fonction du resultat de la 
comparaison entre lesdites cles calculee et mernorisee. 

20 14. Precede selon Tune quelconque des revendications 7 a 9, dans 

lequel le calcul de la cle est aleatoire. 

15. Precede selon la revendication 14, dans lequel on memorise en 

outre la cle dans la base de donnees biometriques (97) en association avec les 
donnees biometriques relatives a ladite personne (93). 

25 16. Precede selon la revendication 15, comprenant les etapes 

suivantes, lorsqu'une concordance a ete trouvee a Tetape Ibl : 

- obtenir une identite (95) de ladite personne (93) ; 
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- obtenir la cle memorisee dans la base de donnees biometriques (97) en 
association avec ies donnees biometriques relatives a ladite personne ; 

- comparer la cle obtenue avec la cle memorisee dans la base de 
donnees des identites (101) en association avec I'identite obtenue pour 

5 ladite personne ; et 

- mettre en oeuvre selectivement I'etape Id en fonction du resuitat de la 
comparaison entre lesdites cles. 

17. Precede selon Tune quelconque des revendications precedentes, 
comprenant en outre une seconde phase de delivrance d'au moins un droit a 

10 ladite personne (31, 39, 59, 69), dans laquelle : 

lei ladite personne s'identifie a I'aide du moyen d'identification (33, 41, 
61 , 71 ) qui lui a ete prealablement associe ; et 

/f/ on delivre ledit droit a iadite personne lorsque ledit droit n'a pas deja 
ete delivre a ladite personne un nombre de fois egal a un nombre 
15 predetermine. 

18. Procede selon la revendication 17, dans lequel Tetape lei comprend 
une comparaison entre des donnees biometriques (32, 40, 60, 70) relatives a 
ladite personne et Ies donnees biometriques a partir desquelles le moyen 
d 'identification associe a ladite personne a ete genere. 

20 19. Procede selon la revendication 17 ou 18, dans lequel I'etape If/ 

comprend la consultation, dans une base de donnees de droits (37, 45, 67, 76), 
des droits deja delivres a des personnes, sur la base d'un identifiant (35, 43, 
65). 

20. Procede selon la revendication 19, dans lequel ledit identifiant (35, 

25 65) est une identite de ladite personne, obtenue a partir du moyen 
d'identification (33, 61) associe a ladite personne (31 , 59). 



21. Procede selon la revendication 19, dans lequel ledit identifiant est un 

identifiant unique (43) du moyen d'identification (41) associe a ladite personne, 
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cet identifiant etant incorpore dans ledit moyen d'identification associe a ladite 
personne (39). 

22. Procede selon Fune quelconque des revendications 17 a 21, dans 
lequel lorsqu'une concordance a ete trouvee a I'etape /b/, on ajoute a une 

5 premiere liste des identifiants des moyens d'identification revoques (55, 91), 
I'identifiant unique du moyen d'identification associe a ladite personne (47, 78) 
qui etait memorise dans la base de donnees biometriques (51, 83) en 
association avec les donnees biometriques relatives a ladite personne (47, 78) 
et, dans lequel I'etape /f/ est mise en oeuvre seiectivement selon que 
10 I'identifiant du moyen d'identification (61, 71) avec lequel ladite personne (59, 
69) s'identifie est ou non memorise dans une seconde iiste des identifiants des 
moyens d'identification revoques (64, 74). 

23. Procede selon la revendication 22, dans lequel les phases de 
generation d'un moyen unique d'identification associe a ladite personne et de 

15 delivrance d'au moins un droit a ladite personne sont mises en ceuvre par une 
premiere et une seconde entites respectivement, et dans lequel la premiere 
liste des identifiants des moyens dldentification revoques (55, 91) est stockee 
sur une base de donnees des identifiants des moyens d'identification revoques 
consumable par la seconde entite, la seconde liste des identifiants des moyens 

20 d'identification revoques (64, 74) etant aiors identique a la premiere iiste des 
identifiants des moyens d'identification revoques (55, 91). 

24. Procede selon la revendication 22, dans lequel les phases de 
generation d'un moyen unique d'identification associe a ladite personne et de 
delivrance d'au moins un droit a ladite personne sont mises en ceuvre par une 

25 premiere et une seconde entites respectivement, et dans lequel les identifiants 
ajoutes a la premiere liste des identifiants des moyens d'identification revoques 
(55, 91) sont transmis de la premiere entite vers la seconde entite pour mettre 
a jour la seconde liste des identifiants des moyens d'identification revoques 
(64, 74). 



30 25. Procede selon la revendication 24, dans lequel la transmission des 

identifiants de ia premiere entite vers la seconde entite est effectuee selon Tun 
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au moins des mecanisrnes suivants : par transfer* periodique desdits 
identifiants ajoutes a la premiere liste des identifiants des moyens 
^identification revoques (55, 91) depuis le dernier transfert, ou par transfert 
periodique de ['ensemble des identifiants memorises dans la premiere liste des 
identifiants des moyens d'identification revoques, ou par transfert instantane de 
chaque identifiant lors de son ajout a la premiere iiste des identifiants des 
moyens d'identification revoques. 

26. Systeme (104) comprenant des moyens pour mettre en ceuvre le 
precede selon I'une quelconque des revendications precedentes. 

27. Systeme (104) selon la revendication 26, comprenant une premiere 
entite (105) agencee pour mettre en ceuvre la premiere phase de generation 
d'un moyen unique d'identification (29, 56, 84, 98, 103) associe a au moins une 
personne (22, 47, 78, 93), et une seconde entite (106) agencee pour mettre en 
ceuvre la seconde phase de delivrance d'au moins un droit a au moins une 
personne (31 , 39, 59, 69). 
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